ModiLoader Анализ вредоносного ПО

Свойства файла

SHA256: ebee9e86da219fd691327d844da33af2075ac307305f020669f470639d9438c1

MD5: 35889d57ba4f788c5fdd1b0d2c2676bc

Тип файла: r00

Размер: 426,777 byte

Первое обнаружение: 2020-10-23

Сигнатура AV: ModiLoader

Кто сообщил: GovCERT_CH

Метки: ModiLoader

Статический анализ: на основе метаданных (образец не загружался)

ModiLoader — Профиль вредоносного ПО

ModiLoader. TFG0890000001.exe logistics lure. Microsoft.TeamFoundation Azure DevOps SDK embedded. MySql.Data.MySqlClient MySQL connector. Possible Azure DevOps C2 channel.

Тип вредоносного ПО
Loader
Язык программирования
Delphi
C2 Протокол
HTTP
Целевые системы
Windows

Технические детали

Varyanta gore C/C#/VBS/PS1, anti-analysis (VM/debugger check), persistence (Registry/Task Scheduler/Startup folder), payload decryption ve injection (shellcode/PE), fileless execution teknikleri

Возможности и поведение

Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı

Список IOC (1 индикаторов)

IOC — ModiLoader
# FILEPATH ebee9e86da219fd691327d844da33af2075ac307305f020669f470639d9438c1
ТипЗначениеПримечание
filepath ebee9e86da219fd691327d844da33af2075ac307305f020669f470639d9438c1 PDB
Теги
ModiLoader